Una nueva encuesta mostró que más de la mitad de los hackers ingresan aun sistema privado en unas 5 horas. El Instituto SANS, una empresa estadounidense privada sin fines de lucro, junto con la firma de seguridad de la información Bishop Fox, realizaron una encuesta a 300 expertos, según la cual un ethical hacker puede encontrar una vulnerabilidad en promedio en menos de 10 horas.
Además, una vez que se descubre un error, el 64% de los pentesters pueden penetrar el entorno en menos de 5 horas. La encuesta también mostró que las fallas más comunes explotadas por hackers informáticos incluyen configuraciones vulnerables, fallas de software y servicios web no seguros.
Tom Aston, vicepresidente asociado de consultoría de Bishop Fox, dijo que los resultados reflejan las tasas de ciberataques del mundo real y resaltan la cantidad limitada de tiempo con el que las corporaciones cuentan para detectar y luego intentar responder a estas peligrosas agresiones.
Según estos, hackear en 5 o 6 horas corresponde al verdadero trabajo de los hackers, especialmente si utilizan ingeniería social, phishing y otros vectores de ataque. La encuesta proporciona los datos más recientes sobre el desempeño de las empresas de seguridad de la información al estimar el tiempo promedio para detener a un atacante e interrumpir su actividad antes de que cause un daño significativo.
Según los datos directos recabados por Bishop Fox-SANS, casi el 75% de los ethical hackers creen que la mayoría de las organizaciones carecen de las capacidades de detección y respuesta necesarias para prevenir ataques. Aston dijo que la encuesta debería convencer a las organizaciones de esforzarse por detectar y responder rápidamente a los ataques para mitigar el daño.
Sin embargo, el factor humano sigue siendo la vulnerabilidad más peligrosa. Según los encuestados, los ataques de ingeniería social y phishing juntos representan el 49% de los ataques. Los ataques a aplicaciones web, los ataques de descifrado de contraseñas y los ataques de ransomware representan el 25%.
Aston también señaló que la encuesta debería recordar a las empresas que la tecnología por sí sola no puede resolver los problemas de ciberseguridad: las soluciones requieren capacitación de los empleados para aumentar su conciencia sobre los ataques.
El phishing; un gran colador de información privada
Como ya sabemos el phishing es un tipo de fraude en Internet, cuya finalidad es obtener datos de identificación del usuario. Esto incluye el robo de contraseñas, números de tarjetas de crédito, cuentas bancarias y otra información confidencial.
El phishing son notificaciones de correo electrónico falsas de bancos, proveedores, sistemas de pago y otras organizaciones que, por algún motivo, el destinatario necesita transferir/actualizar datos personales con urgencia. Las razones pueden ser varias.
Esto puede ser una falla del sistema, pérdida de datos…etc. Los ataques de phishing son cada vez más sofisticados y se utilizan métodos de ingeniería social. Pero en cualquier caso, intentan asustar al cliente, encontrar una razón crítica para que dé su información personal.
Por regla general, los mensajes contienen amenazas, por ejemplo, para bloquear la cuenta si el destinatario no cumple con los requisitos establecidos en el mensaje («si no proporciona sus datos dentro de una semana, su cuenta será bloqueada«).
Es irónico, pero a menudo los phishers citan la necesidad de mejorar los sistemas anti-phishing como la razón por la que supuestamente un usuario tiene que dar información confidencial respondiendo a mensajes como este: («si quiere protegerse del phishing, siga este enlace e ingrese su nombre de usuario y contraseña«).
